Korrekt licenseret software kan øge BNP
Smartphones har dårlig samtalekvalitetMangel på arbejdskraft i IT-branchenLinkedin hitter blandt passive ingeniører
WNZ: Apple sælger historisk antal af obligationerWNZ: Filhosting-siden Copy følger i Googles fodsporLEGO X-wing "landet" på Times Square
Techland fortsætter zombiehistorierne i Dying LightAmazon er måske på vej til DanmarkJavascript-baseret NemID-løsning klar i 2014Windows 8?
Først og fremmest vil vi gerne pointere at vi personligt, eller som site, ikke har noget udestående med Cliche. Vi har forsøgt at gøre opmærksom på et sikkerhedsproblem, først til ejeren af 'problemet' og siden til brugerne af vort site.
Det er vores opfattelse, at hvis der ikke reageres på at blive gjort opmærksom på et sikkerhedsproblem, så er det trods alt bedre at det bliver offentligt kendt - så folk selv kan tage egne forbehold.
Vi har i forbindelse med vore to nyheder modtaget utrolig meget feedback. Det eneste vi har modtaget fra Cliche, er dog kun inddirekte og omfatter udtalelsen fra Morten Bonavent på Computerworld, samt indholdet af en mail sendt til kunder der har brokket sig til Cliche, som et par af disse kunder har postet i diskussionen til de to nyheder.
I CW nævnes: "Vi ændrede adgangskoderne, men nogle kunder har ændret dem tilbage igen, selvom vi siger, at man aldrig må genbruge et password, der har været offentliggjort, siger Morten Bonavent."
Det kunne være en plausibel forklaring, men stemmer ikke helt overens med det som en af de ramte kunder, har skrevet i vores forum (nederst i indlægget).
I ovenstående indlæg er der desuden indholdet af en mail fra Cliche tilsendt kunden, den indeholder en del postulater omkring newz.dks måde at håndtere sagen. Vi er naturligvis ikke enig med Bonavent, i den måde han fremlægger sagen. Det er muligt at han ikke tænker særligt positivt om vore læseres udtalelser, men vi vil dog lade indholdet i diskussionstrådene tale for sig selv.
Vi vil dog gerne kommentere denne: "De har ikke ringet for at få en kommentar, ej heller bedt om lov til at forsøge hacking af vores domæneliste. De har blot gjort dette."
Vi vil gerne tage kraftig afstand fra at vi skulle have hacket/cracket noget. Ved at skrive om sagen er det naturligt at det får en del opmærksomhed. I den sammenhæng vil der sandsynligvis være nogle, som vil prøve at tilgå de hjemmesider der er oplyst på listen fra 2003. Derfor mente vi det var mest korrekt at informere de berørte direkte, ligesom newz.dk har forsøgt at sikre, at der ikke fremkom oplysninger, som teknisk kunne skade Cliche.
For ikke at sende til alle på listen, men kun dem der reelt var i fare, blev der lavet et script der hurtigt kunne undersøge om der var adgang eller ej og de fik herefter en mail. Lidt ligesom at ringe til et nummer og se om røret bliver løftet.
Angående skærmbillederne der viser indholdet af c:\winnt på deres server, så mener vi ikke at dette kan betegnes som hacking. Det fremgår således i CW: "Hostingfirmaet fik blandt andet eksterne folk til at teste, om adgangen til Windows-filerne havde betydning for sikkerheden.
Firmaets konklusion er, at det er en almindelig opsætning på denne type Windows-server, og der ikke er tale om et sikkerhedsproblem.". Det er altså 'helt normalt' at det kan lade sig gøre.
At vi ikke har ringet til dem er ganske korrekt, men vi sendte dem følgende mail:
Hej Cliche,
En af vores brugere har indsendt en 'nyhed' om, at han ved en fejl har fundet frem til, at man ved at benytte et asp script kan få adgang til root drevet på jeres webservere.
Vi vil ikke bringe nyheden førend at I har haft en mulighed for at undersøge sagen og evt. lukke hullet. Da vi ikke ønsker at 'bryde nogle love' har vi valgt ikke selv at undersøge om der er hold i påstanden.
---påstanden----
Fejlen er fundet på Cliche.dk´s asp servere samt Mircosoft´s asp servere.
Scriptet hedder: [slettet]
og kan hentes her gratis her:
http://[slettet]
Det man gør, er af man ændre config.asp Const wexRoot = ""
til Const wexRoot = "../"
Og på den måde kommer man ind på root systemet på den asp server som du har lagt scriptet på...
----------------
Vi bringer naturligvis gerne et dementi fra jer såfremt der ikke er hold i påstanden.
Mvh
peter_m
redaktionen
-----------------------------
newz.dk - nyheder for nørder!
Denne mail blev sendt søndag den 7. august, altså 3 dage inden vi valgte at skrive om sagen, vi hørte dog aldrig noget fra dem. Det er naturligvis muligt at den er gået tabt et sted, vi har dog checket vore log-filer og kan ikke konstatere andet end at den er nået frem.
Cliché / Morten Bonavent er velkommen til at tage kontakt til newz.dk, for at bidrage med en udtalelse. Vi vil i så fald opdatere artiklen, med det han ønsker at fortælle.
